Вече има „златен стандарт“ за защита на етичните хакери

Над 50% от етичните хакери не са докладвали за уязвимост, която са открили, заради опасения относно правните последици (снимка: CC0 Public Domain)

Етичните хакери, които помагат на организациите да защитават по-добре своите ИТ ресурси, все още не са добре защитени от законодателството в повечето страни по света, но глобалната организация HackerOne обяви създаването на „златен стандарт“ за работата на този вид висококвалифицирани специалисти. Чрез „златния стандарт“ организациите, ползващи услуги на бели хакери, ще могат да осигурят високо ниво на защита за въпросните експерти.

HackerOne е платформа за координиране на програмите за награждаване на етични хакери, откриващи слабости и уязвимости в ИТ ресурсите на различни организации по цял свят. Платформата е създадена с цел свързване на бизнес-организациите с „етични хакери“, които правят проучвания на киберзащитата и тестове за уязвимости и пробиви.



Стандартът на HackerOne е наречен Gold Standard Safe Harbor (съкратено – GSSH) и е достъпен за всички клиенти. Чрез него те могат да демонстрират, че могат и ще защитят етичните хакери от отговорност, когато хакват добросъвестно.

Всяка политика за разкриване на уязвимости или оперативна програма за награди за грешки вече трябва да включва декларация за GSSH. Така тя ще очертава правната защита, която етичните хакери могат да очакват. Идеята е чрез създаването на стандартизиран шаблон организациите да могат бързо да въведат кратък, всеобхватен и лесно разбираем стандарт за защита на етичните хакери. Последните пък вече не трябва да анализират всевъзможни различни правила и условия от множество различни декларации и изявления.

Предвид нарастващата атакуема повърхност за организациите добронамереното ангажиране на хакерите е изключително важно днес, но за самите тях пък е съществено намаляването на риска, посочи Крис Еванс, CISO и главен хак-директор в HackerOne. „Ние… целим да установим единен стандарт…, който нашите клиенти могат да възприемат и който помага на хакерите да се чувстват сигурно при участието си в клиентските програми. Когато хакерите са щастливи и ангажирани, организациите постигат по-добра устойчивост на атаки“.

GSSH е тествана в реални условия от трима клиенти на HackerOne: туристическа агенция на име Kayak, GitLab и Yahoo. И трите посочват, че това е важно, за да „демонстрират своя ангажимент за защита на добросъвестните изследвания на сигурността“. „Изявлението за GSSH ни помага по-ясно да се разграничим като водеща програма за награди за грешки,“ посочи главният технологичен изследовател в на Kayak – Матиас Келер. „Това е в съответствие с другите най-добри практики, които следваме, като … плащането за стойност, за да гарантираме, че най-добрите хакери се ангажират с нас, за да защитят организацията ни“.

Фактът, че златният стандарт гарантира спокойствие на етичните хакери, ще им помогне да допринасят за сигурността на потребителските организации още по-качествено, сподели и Доминик Кутюр, инженер по сигурността в GitLab.

Следващият, все още непубликуван, доклад на HackerOne установи, че над 50% от етичните хакери са открили уязвимост, за която не са докладвали, като една от главните причини е, че организацията се е оказала трудна за работа или е била заплашена от правни последици. Това включва заплахата от съдебни действия или дори затвор за етичните хакери.

Този проблем стои на дневен ред откакто съществува концепцията за добронамерените тестове за пробиви. Проблемът обаче придоби колосални мащаби в последните три години, предвид нарастващия обхват на кибератаките и все по-динамичния пейзаж в сферата на киберсигурността. Затова днес голяма част от белите хакери държат да имат известни гаранции от регулаторна гледна точка.

В САЩ, в Обединеното кралство и в редица други страни, сред които България, се говори активно за реформиране на текущото законодателство относно компютърните атаки. За юристите и техническите специалисти сега е предизвикателство да „сортират“ злонамерения от добронамерения „неоторизиран достъп до компютърна система“. Дефиницията трябва да позволи санкциониране на злодеите, но да не криминализира етичните хакерски практики.



От HackerOne се надяват, че до приемането на съответните законови разпоредби в различните държави GSSH ще помогне на организациите да демонстрират, че добронамерените изследванията в областта на киберсигурността няма да бъдат санкционирани. GSSH дори може да послужи за обновяването на правната рамка. Неговите дефиниции могат да спомогнат за законовото разграничение между добронамереното хакерство и тестовете за пробиви от злонамерени кибератаки или кражби на данни, подлежащи на докладване.

Коментари по темата: „Вече има „златен стандарт“ за защита на етичните хакери”

добавете коментар...

  1. Фофу

    Тошко явно при теб са прекалили с лоботомията. Не измисляй глупости, само защото си чул недочул.
    ‘Етично убийство’ , ‘етичен изнасилвач’ са измислици или от болният ти мозък или пак са ти спуснали от Позитано за да биете пак либералистите.
    ’етичен хакер’ е нещо което явно няма идея каквое и затова вземи попрочети.

  2. Тошко от Шекер Маалатъ

    ‘Етично убийство’ , ‘етичен изнасилвач’ ,’етичен хакер’ ………….
    Каквото и да значават тези етикети и конструкции, измисляни от престъпниците от ляво либералното комунистическо гето и носители на наградата за тотална мозъчна лоботомия.

Коментар